fast flux DGA domain generation algorithm Domain shadowing
| 용어 | 설명 | 주요 특징 |
|---|---|---|
| Fast Flux | 악성 웹사이트의 도메인을 지속적으로 변경하여 트래픽을 숨기는 기술. | - 악성 웹사이트의 IP 주소와 도메인을 동적으로 변경하여 검출을 피함. - 빠른 주기로 DNS 레코드를 변경해 트래픽을 분산시킴. |
| DGA (Domain Generation Algorithm) | 악성 코드가 통제 가능한 도메인을 동적으로 생성하는 알고리즘. | - 정적인 C&C 서버 주소를 사용하지 않고, 동적으로 생성된 도메인을 통해 통신함. - 감염된 호스트들이 자동으로 악성 도메인을 생성함. |
| Domain Shadowing | 합법적인 도메인을 사용하여 악성 코드와 통신하는 기법. | - 합법적인 도메인의 서브도메인을 악성 목적으로 활용함. - 보통 정규적인 트래픽으로 숨어있기 때문에 검출이 어려움. |
Fast Flux
설명: Fast Flux는 악성 웹사이트의 도메인을 지속적으로 변경하여 그 도메인의 IP 주소를 숨기고, 트래픽을 분산시키는 기술입니다. 이 기술은 보통 봇넷에서 사용되며, 악성 활동을 감추고 탐지를 피하기 위해 설계되었습니다.
주요 특징:
-
TTL(TIme To Live) 설정: Fast Flux에서는 DNS 레코드의 TTL을 매우 짧게 설정하여, DNS 쿼리 결과가 빠르게 변경될 수 있습니다. 이를 통해 악성 도메인의 IP 주소를 짧은 주기로 변경하여 트래픽을 숨깁니다.
-
변경 주기: DNS 레코드의 변경 주기는 일반적으로 몇 초에서 몇 분 사이입니다. 이는 악성 활동을 추적하거나 차단하는 데 어려움을 줍니다.
-
네트워크 트래픽 분산: 동시에 여러 개의 IP 주소를 사용하여 네트워크 트래픽을 분산시킵니다. 이는 공격 대상을 효과적으로 무력화시키는 데 도움이 됩니다.
DGA (Domain Generation Algorithm)
설명: DGA는 악성 코드가 특정 기간에 동적으로 도메인 이름을 생성하는 알고리즘입니다. 이 도메인은 보통 Command and Control(C&C) 서버와 통신할 목적으로 사용됩니다. 정적인 도메인을 사용하지 않고 동적으로 생성된 도메인을 통해 통신하여, 보안 조치를 우회하고 감지를 피합니다.
주요 특징:
-
도메인 생성 로직: DGA는 특정한 패턴이나 알고리즘에 따라 도메인 이름을 생성합니다. 이는 정적인 C&C 서버 주소를 사용하지 않고, 자동화된 방식으로 네트워크와 통신할 수 있게 합니다.
-
악성 활동의 숨김: DGA를 사용하면 감염된 호스트들이 주기적으로 다른 도메인에 연결하여 악성 활동을 숨길 수 있습니다. 이는 보안 전문가들이 악성 활동을 감지하기 어렵게 만듭니다.
Domain Shadowing
설명: Domain Shadowing은 합법적인 도메인의 서브도메인을 악성 목적으로 활용하는 기법입니다. 해커는 관리하지 않는 도메인의 서브도메인을 생성하고, 이를 통해 악성 코드와 통신하거나 악성 파일을 배포할 수 있습니다. 이 기법은 일반적으로 도메인 관리자의 미각을 피하고, 정상적인 트래픽처럼 보이도록 합니다.
주요 특징:
-
법적인 용도로 사용: 합법적인 도메인의 일부인 서브도메인을 사용하여, 보안 검사를 우회하고 악성 활동을 숨깁니다.
-
검출의 어려움: 일반적인 트래픽처럼 보이는 악성 활동으로 인해 보안 전문가들이 탐지하기 어렵습니다.
도메인 하이재킹(Domain Hijacking)과 도메인 쉐도잉(Domain Shadowing)은 모두 도메인과 관련된 보안 위협이지만, 그 방식과 목적이 다릅니다.
-
도메인 하이재킹 (Domain Hijacking):
- 도메인 하이재킹은 공격자가 다른 사람의 도메인을 무단으로 차지하는 행위를 말합니다. 이는 일반적으로 도메인 등록 정보의 변경이나 DNS 설정을 조작하여 발생합니다. 공격자는 사용자 인증 정보를 탈취하거나, 도메인 등록 기관의 보안 취약점을 이용하여 도메인의 소유권을 빼앗습니다. 이 경우, 피해자는 자신의 도메인에 대한 접근 권한을 잃게 되고, 도메인에 연결된 웹사이트나 이메일 서비스 등을 사용할 수 없게 됩니다.
-
도메인 쉐도잉 (Domain Shadowing):
- 도메인 쉐도잉은 공격자가 합법적인 도메인에 대해 추가적인 서브도메인을 생성하여 악의적인 활동을 하는 것입니다. 예를 들어, 공격자는 이미 존재하는 도메인에 대한 정보를 이용해 서브도메인을 만들고, 이를 통해 피싱 사이트나 악성 소프트웨어를 배포하는 등의 공격을 감행합니다. 이 방식은 피해자가 이미 신뢰하는 도메인을 이용하기 때문에 사용자가 속기 쉽습니다.
결론적으로, 도메인 하이재킹은 실제 도메인의 소유권을 탈취하는 것이고, 도메인 쉐도잉은 기존 도메인을 악용하여 추가적인 공격을 수행하는 것입니다. 두 경우 모두 사이버 보안에 큰 위협이 될 수 있습니다.
